DNS-сервер

Возможно, эта статья содержит оригинальное исследование. Проверьте соответствие информации приведённым источникам и удалите или исправьте информацию, являющуюся оригинальным исследованием. В случае необходимости подтвердите информацию авторитетными источниками. В противном случае статья может быть выставлена на удаление. (26 апреля 2025)

DNS-сервер, Domain name server — приложение, предназначенное для ответов на DNS-запросы по соответствующему протоколу. Также DNS-сервером могут называть хост, на котором запущено соответствующее приложение.

По выполняемым функциям DNS-серверы делятся на несколько групп; сервер определённой конфигурации может относиться сразу к нескольким типам:

• Авторитетный DNS-сервер — сервер, отвечающий за какую-либо зону.
  • Мастер, или первичный сервер (в терминологии BIND), — имеет право на внесение изменений в данные зоны. Обычно зоне соответствует только один мастер-сервер. В случае Microsoft DNS-сервера и его интеграции с Active Directory мастер-серверов может быть несколько (так как репликация изменений осуществляется не средствами DNS-сервера, а средствами Active Directory, за счёт чего обеспечивается равноправность серверов и актуальность данных).
  • Слейв (англ. slave), или вторичный сервер, не имеющий права на внесение изменений в данные зоны и получающий сообщения об изменениях от мастер-сервера. В отличие от мастер-сервера, их может быть (практически) неограниченное количество. Слейв также является авторитативным сервером (и пользователь не может различить мастер и слейв, разница появляется только на этапе конфигурирования/внесения изменений в настройки зоны).
• Кэширующий DNS-сервер — обслуживает запросы клиентов (получает рекурсивный запрос, выполняет его с помощью нерекурсивных запросов к авторитативным серверам или передаёт рекурсивный запрос вышестоящему DNS-серверу).

• Перенаправляющий DNS-сервер (англ. forwarder, внутренний DNS-сервер) — перенаправляет полученные рекурсивные запросы вышестоящему кэширующему серверу в виде рекурсивных запросов. Используется преимущественно для снижения нагрузки на кэширующий DNS-сервер.

• Корневой DNS-сервер — сервер, являющийся авторитативным за корневую зону. Общеупотребительных корневых серверов в мире всего 13, их доменные имена находятся в зоне root-servers.net и называются a.root-servers.net, b.root-servers.net, …, m.root-servers.net. В определённых конфигурациях локальной сети возможна ситуация настройки локальных корневых серверов.
• Регистрирующий DNS-сервер. Сервер, принимающий динамические обновления от пользователей. Часто совмещается с DHCP-сервером. В Microsoft DNS-сервере при работе на контроллере домена сервер работает в режиме регистрирующего DNS-сервера, принимая от компьютеров домена информацию о соответствии имени и IP-адреса компьютера и обновляя в соответствии с ней данные зоны домена.
• DNSBL-сервер (сервер с чёрными списками адресов и имён). Формально не входит в иерархию DNS, однако использует те же механизм и протокол работы, что и DNS-серверы.

Прямой (forward) запрос — запрос на преобразование имени (символьного адреса) хоста в его IP-адрес.

Обратный (reverse) запрос — запрос на преобразование IP-адреса хоста в его имя.

Рекурсивный запрос предполагает получение окончательного ответа от сервера, к которому он направлен. Рекурсию выполняет сервер.

Итеративный запрос предполагает (допускает) выполнение рекурсии клиентом.

Некоторые серверы поддерживают возможность работать в разных режимах для разных сегментов сети. В Bind этот режим называется view. Например, сервер может для локальных адресов (например, 10.0.0.0/8) отдавать локальные адреса серверов, для пользователей внешней сети — внешние адреса. Так же сервер может быть авторитативным для заданной зоны только для указанного диапазона адресов (например, в сети 10.0.0.0/8 сервер объявляет себя авторитативным за зону internal, при этом для внешних адресов в ответ на запрос имени из зоны internal будет отдаваться ответ «неизвестен»).

По стандарту RFC 1035 все DNS-серверы отвечают на порту 53 TCP и UDP. Ранние версии BIND использовали 53 порт так же и при отправке исходящих запросов, более новые ведут себя как обычные DNS-клиенты, используя свободные незарегистрированные порты.

В мире имеется некоторое количество публичных серверов DNS, к которым может обратиться любое устройство и получить ответ. Такие серверы являются бесплатной альтернативой в случае неудовлетворительной работы серверов DNS, предоставленных провайдером его клиенту^[1].

На 2025 год наиболее известны следующие публичные серверы DNS^[2]:

• Google Public DNS (8.8.8.8, 8.8.4.4, 2001:4860:4860::8888, 2001:4860:4860::8844), помимо классической службы DNS по тем же адресам работают серверы DoH (англ. DNS over HTTPS) и DoT (DNS over TLS);
• Control D (76.76.2.0, 76.76.10.0, 2606:1a40::, 2606:1a40:1::), есть платные услуги по фильтрации запросов, и он также предоставляет DoH и DoT;
• Quad9 (серверы 9.9.9.9, 149.112.112.112, 2620:fe::fe, 2620:fe::9 блокируют сайты с вредоносным контентом, 9.9.9.10, 2620:fe::10 — не блокируют ничего), предоставляет DoH';
• OpenDNS (208.67.222.222, 208.67.220.220, 2620:119:35::35, 2620:119:53::53), работают с 2006 года; этот сервис предоставляет также DNS, блокирующие «взрослый» контент (OpenDNS FamilyShield: 208.67.222.123, 208.67.220.123, на них есть DoH);
• Cloudflare DNS (1.1.1.1, 1.0.0.1, 2606:4700:4700::1111, 2606:4700:4700::1001), у Cloudflare есть серверы, блокирующие вредоносные сайты (1.1.1.2) и «сайты для взрослых» (1.1.1.3), также работает DoH;
• AdGuard DNS (94.140.14.14, 94.140.15.15, 2a10:50c0::ad1:ff, 2a10:50c0::ad2:ff), серверы AdGuard блокируют вредоносные сайты и имеют ограничения по количеству запросов (неограниченный доступ и разные фильтры имеют серверы с платным доступом);
• CleanBrowsing (185.228.168.9, 185.228.169.9, 2a0d:2a00:1::2, 2a0d:2a00:2::2), эти серверы фильтруют вредоносные и фишинговые сайты, есть также серверы с фильтрацией серверов прокси и VPN;
• Alternate DNS (76.76.19.19, 76.223.122.150, 2602:fcbc::ad, 2602:fcbc:2::ad) — серверы DNS с блокировкой серверов с чисто рекламным содержимым.

Прочие публичные серверы DNS^[2]:

• Dyn (216.146.35.35, 216.146.36.36);
• OpenNIC (138.197.140.189, 168.235.111.72);
• Яндекс.DNS (77.88.8.8, 77.88.8.1);
• DNS for Family (94.130.180.225, 78.47.64.161);
• Hurricane Electric (74.82.42.42);
• CIRA Canadian Shield (149.112.121.10, 149.112.122.10);
• Comodo Secure DNS (8.26.56.26, 8.20.247.20);
• CenturyLink (205.171.3.65, 205.171.2.65).

• Альтернативные корневые серверы DNS
• PhishTank
• Norton DNS

• RFC 1034
• RFC 1035

• Открытые DNS-серверы  (рус.). Заметки оптимиста (2 августа 2008). Архивировано 12 марта 2011 года.
• Открытые DNS-серверы, часть вторая  (рус.). Заметки оптимиста (4 февраля 2011). Архивировано 11 февраля 2012 года.
• Рудра, А. Авторитетный и рекурсивный DNS  (рус.). PowerDMARC (9 августа 2023). Архивировано 16 января 2025 года.
• Fisher, T. Reviewed by Chris Selph: A List of Free and Public DNS Servers for 2025 (англ.). Lifewire (16 апреля 2025). Архивировано 19 апреля 2025 года.

Для улучшения этой статьи желательно: Найти и оформить в виде сносок ссылки на независимые авторитетные источники, подтверждающие написанное. Проставить сноски, внести более точные указания на источники. Добавить иллюстрации. Пожалуйста, после исправления проблемы исключите её из списка параметров. После устранения всех недостатков этот шаблон может быть удалён любым участником.